Cisco asa ipsec site to site mikrotik

Site-to-Site IPSec VPN между Cisco и Mikrotik

Не смотря на то, что статей в этих ваших интернетах море я все равно внесу немного энтропии и напишу еще одну.

Я всегда с осторожностью отношусь к хвалебным отзывам и хайпу на форумах, особенно когда дело касается железки стоимостью 60$. Как оказалось, делаю я это совсем не зря. Mikrotik не подвел и порадовал таким набором фееричных багов, что пару раз белому мерзавцу грозила неминуемая смерть.

Стабильной работы удалось добиться с следующими параметрами:

Phase1&2: шифрование: aes 128, аутентификация, md5, DH group 2 на прошивке 5.19

Если вы наблюдаете печальную картину того, как разваливается управляющее соединения первой фазы, SA второй фазы остаюся активными, а трафик перестает ходить, то пора нервничать поиграйте с параметрами соединения, временем жизни SA, а так же версией прошивки. Если и это не помогает, то по поисковому запросу mikrotik flush SA на официальных форумах есть несколько рецептов того, как с помощью костылей в виде скрипта, крона и какой-то матери проблему эту если и не решить, то уж точно нивелировать.

Собственно настройки:

За маршрутизатором Cisco существуют две подсети 192.168.0.0/23 и 172.16.20.0/24, к которым не плохо было бы иметь доступ. Mikrotik расположен за динамическим NAT’ом и локальная подсеть предствалена 172.16.100.0/24

По желанию на криптокарту можно привязать ACL.

На стороне микротика добавляем соседа (фаза 1), не забыв включить NAT-T:

Добавляем transorm set (proposal):

И в политиках описываем интересующий нас траффик:

Обратите внимение на опцию level=unique. Она заставит маршрутизатор установить еще одну пару SA если вы направите траффик в сеть, для которой их еще не существует.

Источник

Mikrotik + IPSec + Cisco = Мир, Дружба, Жвачка

Техническая задача: организовать ipip-тоннель между офисами, с шифрованием ipsec, при помощи Mikrotik RB450G и Cisco 2821.

Ньюансы
Исходные данные
Предыстория

Столкнулся по работе с необходимостью замены серверов в наших филиалах, на что-нибудь более надёжное, аппаратное.
Связь у нас с центральным офисом осуществляется через тонели с шифрованием ipsec. В центральном офисе у нас, собственно всё на кошкообразных построено, а в большинстве филиалов стоят обычные сервера под FreeBSD, которые цепляются тонелями, с помощью racoon.
Встала задача, в связи с устареванием, выходом из строя самих серверов, начать устанавливать простые, недорогие аппаратные решения.

Читайте также:  Тп линк асус или кинетик

Братья по-разуму, коллеги и форумы натолкнули меня на изделия Mikrotik, и сразу же я направил к ним письмо следующего содержания:

Ответ пришёл неожиданно, очень быстро, в течении одного дня:

Я сразу остановил свой выбор на «RB450G». Заказали, привезли.
Сразу скажу, по вышеуказанной ссылке настроить не удалось. Данные там устаревшие, некоторые параметры в версии 5.20 просто отсутствуют.
Порылся по форумам, почитал статьи примерно такого содержания:
betep.wpl.ru/2009/02/wiki-mikrotik.html
netandyou.ru/17 — кстати интересная, но рассматривается пример ipsec в gre-тоннеле, а в моём случае тип тонеля ipip, и режим работы crypto ipsec transform-set на циске не «Tunnel», а «Transport». Впрочем тоже не получилось.
Так же перерыл ещё кучу материалов на форумах, добился, чтобы проходило соединение, шифрование включалось, но ничего не работало, пакеты отказывались бегать по тоннелю, как я не старался их к этому принудить.
Два потерянных дня и побудили меня написать на хабр, возможно кому-то эти строки помогут в работе.

В итоге, всё оказалось банально и очень просто.

Я акцентрировал своё внимание на настройках политик IPSec в микротике, и похоже это было ошибкой 🙂
После вдумчивого изучения материала, который мне действительно помог:
wiki.mikrotik.com/wiki/Manual:IP/IPsec#Transport_mode_2 — от сюда и ниже на пару-тройку страниц
и
wiki.mikrotik.com/wiki/Manual:Interface/IPIP — тут просто основы, но на-всякий случай.

Я просто убрал все политики (к слову — они были правильно настроены, судя по динамическим, создавшимся позже), и просто установил галочку автогенерации политик. Что успешно и проделала циска с микротиком после соединения.

Все настройки (консольные и аналогичные графические) привожу ниже.

Cisco:

Микротик:

Если кто-то настраивает через микротиковский GUI «Winbox», аналогичная настройка:
1. Интерфейсы-IP Tunnel. Добавить:

2. В разделе IP-IPSec-Proposals в дефолтном правиле ОБЯЗАТЕЛЬНО сменить SHA1 на MD5!
3. IP-IPSec-Peers. Добавить:

После этого, если циска уже настроена, то должна поднятся сессия:

И автоматически сгенерируются политики:

4. IP-Routes. Добавить:

После этого можно заглянуть обратно в IP-IPSec, закладка Instaled SAs, и вы должны увидеть, что байтики бегут по тунелю в обе стороны:

Надеюсь этот материал сэкономит кому-нибудь время и нервы.

Источник

IPSec Site to Site VPN Between MikroTik and Cisco Router

ASA Configuration:
ASA#conf t
ASA(config)#crypto isakmp enable outside
ASA(config)#object network local
ASA(config-network-object)#subnet 192.168.2.0 255.255.255.0
ASA(config-network-object)# object network remote
ASA(config-network-object)#subnet 192.168.1.0 255.255.255.0
ASA(config-network-object)#exit
ASA(config)#crypto isakmp enable
ASA(config)#access-list outside_crypto permit ip object local object remote
CISCOASA(config)#tunnel-group 10.10.10.2 type ipsec-l2l
CISCOASA(config)#tunnel-group 10.10.10.2 ipsec-attributes
CISCOASA(config-tunnel-ipsec)#pre-shared key sitetosite
CISCOASA(config-tunnel-ipsec)#isakmp keepalive threshold 10 retry 2
CISCOASA(config-tunnel-ipsec)#exit

Читайте также:  Подключение wifi роутера к adsl модему ростелеком

IKE called Internet Association and key management protocol. I KE that used for two host agree to hoe build an IPSec security association. There are two part of IKE negotiation that are phase1 and phase2.

ASA(config)#crypto isakmp policy 10 authentication pre-share
ASA(config)#crypto isakmp policy 10 3des
ASA(config)#crypto isakmp policy 10 hash sha
ASA(config)#crypto isakmp policy 10 group 2
ASA(config)#crypto isakmp policy 10 lifetime 66400
ASA(config)#crypto isakmp transform-set ESP-3DES esp-sha-hmac
ASA(config)#crypto map outside-map 1 set match address outside_crypto
ASA(config)#crypto map outside-map 1 set pfs group1
ASA(config)#crypto map outside-map 1 set peer 10.10.10.2
ASA(config)#crypto map outside-map 1 set transform-set ESP-3DES-SHA
ASA(config)#crypto map outside-map interface outside
CISCOASA(config)#nat (inside,outside) 1 source static local local destination remote remote
CISCOASA(config)#route 0 0 (Gateway Address)
CISCOASA(config)#wr
CISCO ASA Verification:
#show crypto map

Mikrotik Router Peer Configuration:
[admin@MikroTik] /ip ipsec peer>add address=20.20.20.2/32:500 auth-method=pre-shared-key secret=”sitetosite”
generate-policy=no exchange-mode=main send-initial-contact=yes
nat-traversal=no proposal-check=obey hash-algorithm=sha1
enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0
dpd-interval=disable-dpd dpd-maximum-failures=1
[admin@MikroTik] /ip ipsec policy>add src-address=192.168.1.0/24:any dst-address=192.168.2.0/24:any
protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes
sa-src-address=20.20.20.2 sa-dst-address=10.10.10.2 proposal=default
priority=0
[admin@MikroTik] /ip ipsec proposal>add name=”default” auth-algorithms=sha1 enc-algorithms=3des lifetime=30m
pfs-group=modp1024

[admin@MikroTik] /ip firewall nat>add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24
[admin@MikroTik] /ip firewall nat>chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=ether1

Источник

Mikrotik to Cisco ASA IPsec VPN

Posted on October 1, 2012 By Nikola Stojanoski

We needed to setup IPsec VPN for a client with a remote location that already had Cisco ASA. So, here is a Mikrotik to Cisco ASA IPsec howto.

Tutorial Scenario

Cisco ASA site

  • WAN: 1.1.1.2/30 (outside)
  • LAN: 192.168.2.1/24 (inside)

Mikrotik site

  • WAN: 1.1.1.1/30 (ether1)
  • LAN: 192.168.1.1/24 (ether2)

Cisco ASA to Mikrotik configuration

Launch the VPN configuration wizard on your Cisco ASA router

Set VPN Tunnel Type as Site-to-Site

Set the Remote Peer IP Address: 1.1.1.1(Mikrotik WAN) and Pre-shared key. Also Tunnel Group Name should be the Remote Peer IP Address.

Set the IKE Policy Encryption to 3DES, Authentication to MD5 and DH Group to 2

Set the IPsec Encryption to 3DES and Authentication to MD5

Set the Local and Remote Networks

Don’t forget to set the IKE Parameters to Identity: Address to avoid connection problems

Mikrotik to Cisco ASA configuration

Create new policy

Create new Peer

Modify the default proposal to accept MD5 as Authentication

Create NAT rule to bypass the traffic that should to trough the tunnel

Move the rule to the top

Now you can connect your branch offices using Mikrotik Routers even if you have Cisco ASA’s installed on the other locations.

Читайте также:  Роутер кинетик пароль администратора

Источник

VPN между Cisco ASA 5510 и Mikrotik RB951Ui-2HnD

Для обеспечения связи мобильных групп с центральным офисом, можно использовать недорогие маршрутизаторы Mikrotik, которые имеют порт USB, с возможностью подключения 3G/4G модема, и поддержку IPSec.

Настройка Cisco ASA

Создадим объекты, описывающие наши сети:
object-group network CORP_NETS
network-object 10.0.0.0 255.255.255.0
object-group network REMOTE_NETS
network-object 10.0.100.0 255.255.255.0

Разрешаем доступ из локальной сети на удаленные объекты:
access-list inside_access_in extended permit ip object-group CORP_NETS object-group REMOTE_NETS

Исключим из NAT трафик локальной сети к микротикам:
nat (inside,outside) source static CORP_NETS CORP_NETS destination static REMOTE_NETS REMOTE_NETS no-proxy-arp route-lookup

Добавим ACL, который будет критерием заворачивания трафика в VPN-туннель:
access-list MIKROT_ACL extended permit ip object-group CORP_NETS object-group REMOTE_NETS

Добавляем трансформ-сет:
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac

Т.к. со стороны микротиков планируется использовать мобильные подключения (3G-модемы, спутниковые терминалы и прочие «где придётся»), создаём динамическую крипто-карту, привязываем к ней трансформ-сет и указываем ACL:
crypto dynamic-map MIKROT_MAP 1 match address MIKROT_ACL
crypto dynamic-map MIKROT_MAP 1 set ikev1 transform-set ESP-AES-256-SHA

Применяем карту к интерфейсу:
crypto map outside_map 1 ipsec-isakmp dynamic MIKROT_MAP
crypto map outside_map interface outside

Добавим политику IKEv1:
crypto ikev1 policy 10
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

Групповая политика:
group-policy MIKROT_GP internal
group-policy MIKROT_GP attributes
dns-server value 10.0.0.2 10.0.1.2
vpn-tunnel-protocol ikev1
default-domain value mydomain.ru

Туннельная группа:
tunnel-group MIKROT_TG type ipsec-l2l
tunnel-group MIKROT_TG general-attributes
default-group-policy MIKROT_GP
tunnel-group MIKROT_TG ipsec-attributes
ikev1 pre-shared-key MY_STRONG_PSK

На этом настройка ASA закончена.

Настройка Mikrotik

Предположим, есть Mikrotik с настроенным интернетом. Заходим на маршрутизатор по SSH и вводим настройки.

Настроим алгоритмы шифрования и хеширования:
/ip ipsec proposal
add auth-algorithms=sha1 enc-algorithms=aes-256-cbc name=corp pfs-group=none

Добавим политику шифрования (100.100.100.100 — адрес внешнего интерфейса ASA):
/ip ipsec policy
add dst-address=10.0.0.0/24 level=unique proposal=corp sa-dst-address=\
100.100.100.100 sa-src-address=0.0.0.0 src-address=10.0.100.0/24 tunnel=yes

Создаём пир. В качестве id задаём имя туннельной группы — MIKROT_TG.
/ip ipsec peer
add address=100.100.100.100/32 enc-algorithm=aes-256 \
exchange-mode=aggressive local-address=0.0.0.0 my-id=user-fqdn:MIKROT_TG \
secret=»MY_STRONG_PSK» send-initial-contact=no

Чтобы трафик, адресованный в Интернет, ходил мимо туннеля, добавим исключение из NAT:
/ip firewall nat
add chain=srcnat dst-address=10.0.0.0/16

На этом всё. Если что-то не работает — включаем дебаг на асе и читаем.

Источник